Siber Saldırı ve Veri İhlali: “Sorumlu Kim?” (Karar: 2020/787)
Kişisel Verileri Koruma Kurulu (Kurul), 09/10/2020 tarihli bu kararıyla, her veri ihlalinin otomatik olarak bir ceza ile sonuçlanmayacağını, veri sorumlusunun üzerine düşen tüm teknik ve idari tedbirleri alması durumunda “sıfır hatasızlık” beklenemeyeceğini tescil etmiştir. Karar, “yaygın bir yazılım açığı” nedeniyle yaşanan siber saldırıda şirketin profesyonelce yürüttüğü süreç yönetimine odaklanmaktadır.
1. Olayın Özeti: Global Bir Yazılım Açığından Sızma
Olay: Sağlık sektöründe faaliyet gösteren bir şirket, dünya genelinde yaygın kullanılan bir yazılımdaki (yazılımın kendi üreticinden kaynaklı bir zafiyet) açıktan yararlanan hackerların saldırısına uğramıştır. Tek bir sunucuya yüklenen zararlı yazılım, fatura verilerini içeren bazı dosyaları erişilemez hale getirmiştir.
İhlalin Detayları:
- Etkilenen Veriler: Ad-soyad, TCKN, vergi dairesi, adres, e-posta, telefon ve fatura detayları (malın miktarı, fiyatı, ödeme tarihi vb.).
- Etkilenen Sayısı: 200 kişi (1 müşteri, 199 tedarikçi).
- Tespit: İhlal 30 Eylül’de başlamış, şirket tarafından 5 Ekim’de tespit edilip aynı gün durdurulmuştur.
2. Kurulun Hukuki Değerlendirmesi: “Tedbirler Tam, Risk Düşük”
Kurul, şirketin hem ihlal öncesi hem de ihlal sonrası sergilediği tutumu örnek bir vaka olarak değerlendirmiştir:
A. İhlalin Kaynağı: Üçüncü Taraf Zafiyeti
Kurul, ihlalin veri sorumlusunun bir ihmalinden değil, dünya genelinde kullanılan profesyonel bir uygulamanın kendi açığından kaynaklandığını saptamıştır. Bu, veri sorumlusunun doğrudan müdahale edemeyeceği bir “dış etken” olarak kabul edilmiştir.
B. İhlal Öncesi Alınan Güçlü Tedbirler
Şirketin ISO 27001 sertifikasına sahip olması, her yıl sızma testleri (pentest) yaptırması, çalışanlarına düzenli eğitimler vermesi ve siber saldırı tespit sistemlerini (IDS/IPS) kullanıyor olması, “makul bir güvenlik düzeyi” sağladığının kanıtı sayılmıştır.
C. Hızlı Müdahale ve Profesyonel Yönetim
İhlal tespit edilir edilmez siber olaylara müdahale ekibinin (SOME) kurulması, uzman firmalardan destek alınması ve adli bilişim (forensics) çalışmalarının başlatılması Kurul tarafından olumlu karşılanmıştır.
D. Verilerin Niteliği ve Bildirim
Etkilenen verilerin büyük kısmının (şahıs şirketi kaşeleri vb.) zaten kamuya açık veya ticari ilişkilerde kolayca erişilebilir bilgiler olması nedeniyle, ilgili kişiler üzerindeki olumsuz riskin “düşük” olduğu değerlendirilmiştir.
3. Karar Sonucu: “İlave İşlem Yapılmasına Gerek Yok”
Kurul inceleme neticesinde;
- Veri sorumlusunun teknik ve idari tedbirleri makul seviyede almış olduğu,
- İhlalin kendi kusurundan değil, dış kaynaklı bir yazılım açığından kaynaklandığı,
- Süreci şeffaf ve hızlı bir şekilde yönettiği,Gerekçeleriyle, Kanun’un 12. maddesi kapsamında şirkete herhangi bir idari para cezası uygulanmamasına karar vermiştir. Sadece etkilenen kişilere yapılan bildirimlerin belgelerinin Kurum’a sunulması talimatlandırılmıştır.
4. Özgür Eralp Perspektifi: “Her İhlal Ceza Değildir, Süreç Yönetimi Hayattır”
Bilişim hukuku ve siber güvenlik alanındaki tecrübemizde, şirketlerin “hacklenirsek biteriz” korkusuyla ihlalleri gizlemeye çalıştığını görüyoruz. Ancak bu karar, dürüst ve şeffaf bildirim yapmanın ödülünü göstermektedir. Şirket, saldırıyı gizlemek yerine tüm teknik detaylarıyla (log kayıtları, eğitim belgeleri, forensic raporları) Kurul’a sunmuş ve “Ben elimden geleni yaptım” demiştir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler için asıl savunma hattı, ihlalden sonra ne yaptıkları değil, ihlalden önce hangi yatırımları yaptıklarıdır. Bu kararda şirketi cezadan kurtaran şey, her yıl düzenli yapılan sızma testleri ve ISO 27001 uyumudur. Siber güvenlik sadece teknik bir konu değil, aynı zamanda en büyük yasal koruma kalkanıdır. Eğer sistemleriniz güncelse ve personeliniz eğitimliyse, başınıza gelecek bir “sıfır gün” (zero-day) saldırısında hukuk sizi koruyacaktır.
Sıkça Sorulan Sorular
1. Şirketim hacklendiğinde her durumda ceza alır mıyım?
Hayır. KVKK, veri sorumlusundan “imkansızı” değil, “uygun güvenlik düzeyini temin edecek makul tedbirleri” bekler. Eğer tedbirleriniz tamsa ve sızıntı sizin kontrolünüz dışındaki (yazılım açığı gibi) bir sebeptense ceza almayabilirsiniz.
2. İhlali Kurul’a bildirmek zorunda mıyım?
Evet. İhlali öğrendiğiniz andan itibaren en geç 72 saat içinde bildirmelisiniz. Bildirmemenin kendisi, sızıntının kendisinden daha ağır cezalara (bildirim yükümlülüğüne aykırılık) yol açar.
3. “Tedarikçi verisi” sızması ile “Müşteri verisi” sızması arasında fark var mı?
Kurul verinin niteliğine bakar. Bu kararda, tedarikçi verilerinin (kaşe, ticari unvan vb.) zaten piyasada yaygın olması risk derecesini düşürmüş ve ceza verilmemesinde etkili olmuştur.
4. Forensic (Adli Bilişim) çalışması nedir?
Bir saldırı sonrası saldırganın nereden girdiğini, hangi verilere dokunduğunu ve sistemde “arka kapı” bırakıp bırakmadığını tespit eden teknik incelemedir. Kurul, bu raporları “olaya hakimiyetin” kanıtı olarak görür.
5. KVKK uyumu için en önemli teknik adım nedir?
Tek bir adım yoktur ancak bu kararın da vurguladığı gibi; düzenli log tutma, yetki matrisi, güncel anti-virüs ve her yıl yapılan sızma testleri olmazsa olmazdır.
Kaynaklar
- KVKK Kurumu – 2020/787 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12)
- ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi
Etiketler
KVKK, Veri İhlal Bildirimi, Sağlık Sektörü, Siber Saldırı, Teknik ve İdari Tedbirler, Zararlı Yazılım, 2020/787 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Sızma Testi, Adli Bilişim, Bilgi Güvenliği Eğitimi
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),